Z powyzszego artykulu:
Zresztą, żyjemy w czasach firmowych backdoorów, sprzętowych luk w oprogramowaniu oraz telemetrii stosowanej przez producentów najpopularniejszych systemów operacyjnych, więc szczerze powiedziawszy Meltdown i Spectre poprzeczki jakoś specjalnie nie podnoszą.
Ten akurat fragment to jest przyklad amatorszczyzny, wynikajacej (prawdopodobnie) z nastawienia autora na rynek PC domowych.
Przyklad - serwer WWW dzielacy hosta ESX z m.in. jakas inna, obca maszyna w chmurze publicznej (nic dziwnego w dzisiejszych czasach).
Masz swoj system spaczowany, sfirewallowany, z SELinuxowany i w ogole nikt sie na niego nia ma prawa zalogowac, jest zarzadzany puppetem/saltem co tam jeszcze jest dostepne w siwecie DevOps, plus siedziacy za Web Application Firewallem rozkminiajacym Zero-Day threats, a traffic do serwera zapierdziela przez Cloud Flare albo cos podobnego. Generalnie placisz kupe siana za ochrone tego serwerka i masz wszystkie BestPractises spelnione.
Z tej malej maszynki EC2 o ktorej byla mowa na poczatku, misiu jakis zczytuje sobie kilkanascie kilobajtow z zawartoscia kluczy prywatnych do certyfikatu SSL chroniacego uzytkownikow Twojego serwera WWW.
No, jesli masz jeden serwer i jeden certyfikat to Twoi klienci i Ty masz starty lekkie. Jesli zas masz jeden cert i zestaw kluczy prywatnych do niego ale do certu masz wpisane kilkadziesiat SANow (tzn wszystkich nazw domenowych Twoich innych serwisow) i sobie to instaujesz na swoich 1k serwerow i loadbalancerow.... tutaj mowimy o milionowych stratach. I co najgorsze - nie wiesz o tym dopoki komornik nie zapuka do drzwi.
Kompletnie zgadzam sie ze stwierdzeniem, ze dla swiata domowych PC sprawa jest lekko rozdmuchana i w zasadzie jest ciekawostka, niemiej doradzam paczowanie.
Natomiast bagatelizowanie tego problemu i sugerowanie, ze to jest okazja stricte marketingowa jest takim samym naduzyciem przekazu medialnego jak propagandowka TVP albo 300 Milionow Funtow tygodniowo wiecej dla NHS po Brexicie.
